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Zielsetzung des Vortrags 


dieser Vortrag ist sehr weit gestreut, 
er wird eher selten in die Tiefe gehen 

es soil eher probiert werden das "Mindset" welches noetig ist 
um Linux Security zu verstehen, zu ueberliefern. (Wer dieses 
verstanden hat wird sofort sehen das man sowieso viel Zeit 
in das Thema stecken muss um Sicherheit erreichen) 

der Vortrag will eher die richtigen Pointer in die Bereiche 
geben, in denen jeder sich selber weiterbilden sollte 

"Sicherheit ist kein Produkt, sondern ein Prozess" 
Bruce Schneier, aus „Secrets and Lies" 


Wieso ist Linux Security wichtig ? 


• Security ist immer wichtig wenn man 

- wichtige Daten auf dem Rechner hat 

- Dienste fuer andere anbietet 

- uberhaupt einen Rechner in einem Netzwerk mit anderen Rechnem 
betreibt 

• Wer im Netz hangt und nicht auf die Sicherheit seines Rechner s achtet, 
handelt eigentlich in gewissem Masse f ahrlassig gegenuber dem Rest des 
Internets. (Diese Reaktion war etwanach den DDoS Attacken Anf ang 2000 
oft zu horen.) 

• Ein wirklich sicherer Rechner hangt an einer autonomen Stromversorgung 
in einem Bunker unter der Erde in einem Tresor ohne Netzwerk 

• Linux Server sind heutzutage nicht von Haus aus sicher sondem, genauso 
wie Windows NT/2K Server erst „abzud icht eri 1 


Der Ramen Wurm 

der Ramen Wurm ist der jiingste Beweis fur die Faulheit und Unkenntnis einer 
grossen Menge von Linux ^^Sy sterna dministratoren Cf . Er wurde urn den 
18Jan.2001 in freier Wildbahn gesichtet. 

es wird nach RedHat Linux 6.2/7.0 gescannt (im FTP Banner erkenntlich) 
er benutzte Locher in den Paketen: 

- wu- ftpd (fuer RedHat 6.2, Fix vom 23.6.2000, >6 Monate) 

- statdx Exploit im nfsd der nfs- utils (RH 6.2, Fix vom 17.7.2001, >6 
Monate) 

- syslog format bug im LPRng (RH 7.0, Fix vom 26.9.2000, >3 Monate) 

falls ein Angriff erfolgreich war, wird von der infizierenden Maschine ein File per 
HTTP gehohlt und auf der infizierten Maschine ein Mini- HTTP Server auf Port 
27374 gestartet, eine Mail an Hotmail und Yahoo (gbGl 337@hotmail.com) 
verschickt, sowie nach weiteren Zielen gescannt 

der Wurm ist aus verschiedenen Exploits zusammengesetzt worden (nicht alle 
Binaries sind gestripped worden) und attackiert Standarddienste auf veralteten 
Linux Rechnern 


Der Ramen Wurm 

alle auf dem infizlerten Rechner getunden HTML Dateien werden mit dem Text 
"RameN Crew - - Hackers looooooooooooove noodles." ersetzt. 

es wurden leider beim Scannen nach potentiellen neuen Zielen auch Multicast 
Adressen gescannt. Und das sich dadurch einige Leute angepinkelt gefiihlt haben, 
diirfte klar sein. (Es gibt z.Z. AFAIC noch kein Sicherheitssystem bei Multicast 
Anwendungen) 

bei aufgespielten Updates hatte der Wurm keine Chance. Zum Aufspielen war 
viel Zeit vorhanden 

mit leichten Abwandlungen ware der Wurm nicht Distributionsspezifisch 
gewesen 

zur Zeit laufen laut NetCraft.com 70% aller Linux Webserver mit einer RedHat 
Version 

es gibt keine genauen Zahlen wie viele Rechner infiziert wurden, aber unter den 
infizierten Sites waren die NASA, das Jet Propulsion Lab in California, ein 
University of Texas A&M server, and ein Supermicro Server in Taiwan. 


Themenbereiche fur Heute sind: 

1. ) Basic/Fundamental Linux Security 

(das solltejeder wissen) 

2. ) Advanced Linux Security 

(das sollte jeder lernen) 

3. ) Esoteric/Far - Out Linux Security 

(wer das weiss ist dem Rest einen Scliritt vorraus - 1st aber nicht arg viel : ( 


1.) Basic/Fundamental Linux Security 

# 


Angriffsarten und Motivationen 

• wichtigsten Motivationen : 

— Sabotage (Ausfall eines DNS Servers fiihrt zur Unnerreichbarkeit einer 
Webeeite) 

— Informationsgewin (Welche Geschaftsplane hat Firma XYZ) 

— unerlaubte Verwendung von Diensten (Durchfiihrungvon 
Kreditkartentransaktionen bei Online Shops zu Gunsten des Angreifers) 

— Vorteile gegeniiber Dritten Parteien (Verwendung des Ziels a Is Plattform fiir 
Angriffe gegen das primare Ziel) 

• wichtigste Durchfuhrungsziele: 

— DoS (Denial of Service) 

— Ubernahme des Rechners durch Erwerb von Systemadministra tor/Root 
Privilegien 


Angriffsarten und Motivationen 

• wichtigste Methoden tun das Ziel anzugreifen: 

- physikalischer Zugriff vor Ort. Wird meistens verges sen. Daten auf 
einer ausgebauten Festplatte sind nicht mehr wirklich sicher, oder 
„init=/bin/sh" als LILO Parameter ist oft nidit verboten 

- durch Programme, die auf der Netzwerkkarte nach Daten lauschen 
(Bufferoverflows, Besonders peinlich bei Sniffern) 

- durch Programme, die es Benutzem erlauben sich einzuloggen 
(Sniff en bei unverschlusselten Diensten, Man in the Middle Attacke 
bei verschlusselten Diensten) 

- als lokaler Benutzer, der ein harmloses Program in einer nicht 
geplannten Vorhergesehenenweise verwendet (tmp -races, 
Bufferoverflows. Audi ein PacMan Clone kann so missbraucht 
werden) 


Pflichten der Wurzeln 


nur Software installieren die auchbenotigt wird, audi wenn es 
schwerfallt im Zeitalter der 30 GB IDE Platten nicht einfach auf "Alles" zu 
Idickenund sich den spateren Nacmnstallierarger zu sparen 

nur Dienste starten die auch benbtigt und verwendet werden. 
Merke: lasst sich dieFunktion und die Abhangigkeit von diesem Dienst 
nicht in 2 Satzenkurz umschreiben, dannrunter damit. Uberzeugen das 
auf jedem Port audi der riditige Dienst lauft. 

immer und uberall auf Versdilusselung achten: 

— verschliis selt en Dienst en sind gegenliber unverschlusselten 
gleichartigen Dienst en der Vorzug zu geben, audi bei erhohtem 
Administrationsaufwand 

— bei der Installation eines Systems auf MD5 Passwortdateien achten 

— eventuell Partitionen verschlusseln 


Pflichten der Wurzeln 

Problem der Standarddienste: BIND, Sendmail und Apache sind fast auf 
jedem System vorhanden, da sie ihre Auf gabe optimal erfullen. 

Die Suclie nacli siclieren Alter nativen ist trot zd em meistens sinnvoll, 
wenn audi nicht unbedingt zufriedenstellend . 

Es gilt hier jedochleider eine Regel der Biologie: 
Monokulturen begiinstigen Schldlinge 

Vertrautmachen mit den wiclitigsten Log-Files. ( unter /var/log) 
Regelmassig selbst nacli Anomalien schauen. Fruher oder spater wird 
einem dieses Wis sen helfen. 

Problem der unverschlusselten Kommunikation an sicli: wenn Dienste bei 
denen sicli der Benutzer des Dienstes authetifizierenmuss, 
unvers chilis selt oder olme Digest Authentifzierung ablaufen, oder Daten 
unvers chilis selt libertragen werden, besteht immer die Moeglichlceit, das 
Inf ormationen an unerwlinschte dritte Parteien durchsickert. 


unverschlusselte Dienste 


Telnet : klassisdies Beispiel, viele wissen gar nicht das das 
unervsclilusselt 1st und nehmen an das "da sdion irgendwie Sidierheit 
drin ist" 

FTP: nodi schlimmer. wird von so gut wie jedem benutzt, z.B. bei den 
ganzen billig WebSpace Aldis. Dabei kann das ganze Internet das 
Pass wort mitsniffen. 

SMTP: Emails werden komplett unverschuesselt und unautlientifiziert 
ubertragen 

POP 3: audi alles unverschluesselt 

ICQ: so gut wie alle Instant Messaging Dienste werden unverschluesselt 
uebertragen, obwohl es audi anders gehen wuerde 


verschliisselte Dienste 

SSH statt Telnet: alles verschluesselt, audi der Handshake. Hat sich 
mittlerweile etabliert 

Alle obigen Dienste lassen sich unter mehi oder weniger grossem 
Aufwand mit SSL nachruesten 

PGP/GPG: um Emails zu verschluesseln. 1st bekannt aber nicht etabliert 


Distributionsspezifische Aufgaben 

• Verstehe deine Distribution. Zielsetzung, Marktposition, interne 
Mechanism en 

• auf den jeweiligen Security Mailinglisten subscribed sein 

• schnell und rechtzeitig Updates einspielen 

• Uberblick der Update-Mechanismen der wichtigsten 3 Distributionen 

— SuSE Linux. Dominant in Europa. Kein automatisches, vom H erst ell er 
unterstlitzes System. Mailingliste vorhanden. Responsezeit gut bis 
ausreichend 

— RedHat Linux. Dominant in Amerika. Automatisches System liber das 
RedHat Network mit Registration und dem grafischen Frontend 
up2date. Mailingliste vorhanden. Responszeit gut. 

— Debian. Simply rules. Automatisches System mit Frontend oder 
unattended. Freundliche Mirrors in deiner Nachbarschaft. Seit 
kurzem auch mit signierten Packeten. Mailingliste vorhanden. 
Responsezeit sehr gut. 


Security News 

aktuelle Informationen zu erhalten 1st wichtig. Nichts ist so alt wie ein Adivssry 
von gestern, nachdem man mit dem darin beschriebenen Bug gecrackt wurde. 

Wo informiert man sich also, und wieviel Zeit kostet das? 

— auf der Security Mailingliste der eigenen Distribution subscribed sein 

— auf Bugtraq subscribed sein wenn Zeitautwand angemssen erscheint 
(realistisch sind 10 bis 15 Minuten Pro Tag.) 

— eine NewsSeite pro Tag Besuchen. Zu empfehlen sind: Heise News oder auf 
Englisch im Linux- Bereich Linux Today, (ca. 5 bis 10 Minten pro Tag) 

— entsprechende Gruppen im Old- School Usenet (ca. 10 Hs 20 Minuten, 
Noise/Signal Ratio schlimmer als auf Bugtraq) 

— Verschiedene monatliche und wochentliche Newsletter. Diese zeigen 
Tendenzen an, unregelmaessiges Ueberfliegen reicht deswegen meistens (zB 
von Bruce Schneier, monatlich Cryptogram. 
http://www.counterpane.com/crypto- gram.html) 


Security News 

Papiermedien: ct und ix in Deutschland. Ansonsten sind diemeisten 
Zeitungen die man so am Kiosk findet eher nicht ernst zu nehmen. (5 
Stunden pro Monat) 

Achtung: seit kurzem stellen audi mache der Security Consulting Firm en, 
welche Advisories herausgeben, Copyrightanspruche auf ihrer Advisories. 
So geben etwa Microsoft und @ Stake (da arbyten jetzt die Jungs von 
LOpht) nicht all e ihrer Advisories frei. 

Jede Firma oder Organisationseinheit sollte mindestens eine Person 
haben die sich wenigstens mit einem Teil ihrer Zeit um die Sicherheit 
kiimmert. Dabei sollte jeden Tag eine bestimmte Zeit eingeplannt 
werden, wobei taglich und kurz besser ist als lang und nur einmal die 
Woche. 

Wie wichtig es ist regelmassig die Nachrichten im Sicherheitsbereich zu 
verfolgen und audi schnell zu reagieren zeigte vor kurzem das 
Bekanntwerden von mehreren gravierenden Sicherheitslucken im BIND . 


Das BIND Scheunentor 

• Chronolcgie der Ablaufe: 

— Ende Dezember 2000 werden die Liicher im BIND gefunden 

— es werden im Stillen von alien grossen Herstellern Updates gemacht, 
nachdem die Log her vom Internet Software Consortium geflickt wurden. Es 
gibt Exploits, die jedoch nicht der Offentlichkeit zuganglich waren 

— am Montag, 22.1.2001 wurde ein Advisoiy dazu auf Bugtraq und anderen 
relevanten Listen gepcetet 

— am Dienstag stand da von auf Slashdot und auf Linux Today, nachmittags 
dann auch auf Heise. Debian Packete ohne LdcK sind fertig. 

— am Mittwoch sind gefixte Packete von RedHat und SuSE da. Ein Fake Exploit 
taucht im Upperground auf, und vermutlich taucht auch ein echter Exploit 
im Underground auf. 

— am Donnerstag ist die Arger im Anmarsch. Wer jetzt noch nicht seine 
Bindyleins ge- updated hat, merkt es spatestens jetzt wen n sein Server 
spinnt. 


Das BIND Scheunentor 

Die detailierte Tabelle der Bind Lbcher befindet sidi audi jetzt noch 
unt er : http ://w ww . is c. org/ pro ducts/ B END/b ind - security .html 

Die Bind Versionen bei Aktuellen Distrubtionen war en alle mit ca. 5 
Lochern versehen, davon 3 mit Mbglichkeiten zum Ausiuhren von Code 
als Root, sowie mit Moglickeiten zum entfemten (remote) auslosen. 

Zeitfenster des Otto -Normal -Admins nachdem er vom Bug erfahren 
hatte bis zu den ersten im grossen Stil angewendeten Exploits war von 
Dienstagbis Donnerstagmorgen. Also ca. 3Tage. 


2.) Advanced Linux Security 


Linux Systemarchitektur spezifisches 

Attacken auf Locher im Kern selber. 

Gab es bei jeder Major Version des Kerns. Manchmal wurde im Nachhinein 
festgestellt das die Bugs fuer Monate drin waren. Besonders boeses Beispiel: the 
infamous "ping me tender"- Bug im 2.0er Kern. Ein simpler Ping mit einer 
Paketgroesse von 65468 konnte eine Kiste einfrieren (ping - s 65468 
deadmeat.victim.org) , und der Bug wurde im 2.0.38 Kern gefunden und erst im 
2.0.39 gefixt. (Okay, einen Patch gab es schon vorher.) Doch auch im 2.4 gab es 
schon einen Sysctl Bug der duch Angabe eines negativen Bpte- Offsets das 
auslesen von grcesen Bereichen des Speichers erlaubte. 

PAM (Pluggable Authentication Modules) von Sun erfiinden, aberseit2 Jahren 
bei alien Linux Distributionen dabei. Damit wird etwa moglich: 

— andere Passwortverschliisselungen (zB MD5 oder triple ROT- 26 ;} 

— Au ill entifzie rung eines Linux Rechners gegen eine NIS/NIS+/Windows 
Domain 

— Resourcen limits fur Benutzer setzen und Restrictionen fuer die Zeit des 
Einloggens setzten 


Linux Systemarchitektur spezifisches 

• glibc - Die wunderbare neue Welt der neuen GNU Lib C ab Version 2.0 
bringt so spassige Sachen wie mehrere Versionen der Libc in einem File 
mit. Leider audi einen Haufen nicht ganz ausgereifter Interfaces. Speziell 
bedauerlich waren neulich 2 Bugs in defensiven Features, welche 
eigentlicli vor Missbraucli schutzen sollten. 

- ein Bug im Handling von von LD_PRELOAD und LD_LIBRARY_PATH 
Shell Umgebungsvariablen bei set_uid Programmen. Leider hat es 
manchmal damit gehackt 

— eine Funktion zur Uberprligung der LANG Variablen machte genau 
das Gegenteil, sie schloss keineLucken sondern bffnete neue Lucken 


Linux Systemarchitektur spezifisches 

normals Dateiattribute das ext2 Dateisystems 

- das „sticky bit" erlaubt bei einem Verzeichniss nur dem Besitzer einer 
Datei oder einem Benutzer mit expliziter Schreibberechtigung diese 
zuLosdien audi wenn dem Benutzer das ganzeVerzeichniss gehort 

- ausserdem Vorsicht mit dem Set_uid Bit und dem Set_gid Bit. Damit 
bekommen ausfuhrbare Datein immer die Redite ihrer Besitzer, 

erweiterte Dateiattribute des ext2 Dateisystems (ziemlich. unbekannt) 

- mit diattr und lsattr zu verandern 

- Attribute sind: append -only flag, online compression (nicht 
unterstutzt) , immutable flag, s - beim Losclien wird die Datei mit 
Nullen ueberschrieben, sync flag, allow undelete flag. 

die neuen Journaling Datei systeme haben and ere Besonderheiten: 

- ReiserFS kann ACLs (Access Control Lists) realisieren 

- SGI's XFS kann angeblicli audi viele nette Saclien 


Linux Systemarchitektur spezifisches 

RPC (Remote Procedure Call) und NFS (Network Filesystem) eroffneten 
jeweils fur sicli viele Bugs in der Vergangenlieit 

notwendige Dienste und der TCP Wrapper. 

Es sollten wie sclion gesagt nur die notigsten Dienste auf einer Kiste 
laufen, und diese sollten weitestgehend konfiguriert werden um nur in 
einer klar definierten Weise benutzt zu werden. Falls ein Dienst diese 
Moglichlceit niclit selber bietet, sollte er mit TCP Wrapper Support 
kompiliert werden. Dannkannmit den D at eien /etc/hosts. allow und 
/etc/hosts. deny der Zugriff kontrolliert werden. Man sollte sich audi 
gleich davon uberzeugen das die DNS Inform ationen uber die eigene 
Domain riclitig sind, da sonst Spoofing moglich. ist. 

identd. Dieser Daemon gibt anderen System Auskunfte uber locale 
Benutzer. Es sollte eine sicliere Variante von ihm installiert sein, und er 
darf nicht zu Plaudertascliig konfiguriert sein. 


Linux Systemarchitektur spezifisches 

Toll und neu: COPBA (Common Object Request Broker Architecture) 
Junge und aufstrebende Desktop Oberflaechen wie KDE und GNOME streben alle 
nach dem Heiligen Gral der Componentenbasierllieit. Wir alle Hoffen das dabei 
die Sicherheit nicht geopfert wird. Bisher wurde jedoch etwa von Ximian ganz 
explizit geaussert, das Sicherheit keine ihrer Top- Priotitaten 1st. Und ein 
unsicheres Netzwerk- Componenten Model hatte noch fatalere Folgen als das 
tolle Mi Active X. Der Gnome OPBit und das KDE OpenParts Mcdel zeigen 
jedenfells noch nicht viele Sicherheitsfeatures. 

Linux Hardening Script 

— fuer RedHat: http;//www.bastille- linux.org/ 

Das Script begleitet einem beim Zurechtsetzen der sicherheitsrelevanten 
Eigenschaften des Systems 

— fuer SuSE: harden_suse 

Linux Intrusion Detection System Patch fuer den Kern: http://www.lids.org 
Kann Prczesse und Files unslchtbar mac hen. Keine neu en Module, Filesysteme 
oder Konfigurationsdateien nach dem versiegeln des Systems. Root hat nicht 
mehr unbegrenzte Rechte. 

Sehr unorthodoxe Features, dafiir aber sehr pragmatisch. 


Intrusion Detection 

Der Befehl ^strings <Datei> ff zeigtZeichenketten in einem Executable an 

mit j^mdSsum <Datei> ff kann man sich selbst kurz die Priifsumme anzeigen 

Dateiintegritats Uberpriifungsprcgramme (integrity checker) 

Uberwachen Anderungen an Dateien und benachrichtigen den Admin danach. 

— Dazu hat sich wohl Tripwire bewahrt, auf www.tripwire.com. 1st inzwischen 
GPL. 

— AnsDnsten die Ersatzprojecte AIDE oder Osiris. 

— auf einem RPM basierten System ist ansonsten der simpelste Check das 
Ausfiihren von #rpm - Va Cf . 

Intrusion Detection auf der Basis von Netzwerkverkehranalyse mit Snort: 
anhand von Angriffssignaturen wird der Netzwerkverkehr auf Angriffe uberpriift 

Portsentry ist ein Daemon welch er bei versuchten Portscan- Angriffen Alarm 
schlagt 


sonstige Tools 

beliebte Packets niffer: 

- etherreal: gibt es als GUI und als ncurses Version. Viele 
Formate von Packet-Log- Dateien importierbar 

- dsniff: kann viele Protokolle sinnvoll abfangen, unter anderem 
audi SSH mit einer Man- In-The- Middle Attacke 

mit Syslog— NG lass en sich Logfiles auf andere Rechner 
weiterleiten. Dadurchkann ein Verandern des Logfiles vermieden 
werden (ausser der Logserver ist gecrackt) 

The Coroners Toolkit: Falls eingebrochen wurde, ist dies eine 
Werkzeugsammlung, mit welcher geloschte Dateiinfbrmationen 
und ahnliches Wiederhergestellt werden kann 

mit Scanlogd las sen sich ungewohliche Vorkommnisse im LogFile 
automatisiert zeigen. Braucht aber viel Fine— Tuning 


Bufferoverflows 


Grundlage ist das em Programm Input einer bestimmten Lange erwartet 
aber nicht uberpruft ob der Input langer ist 

Da unter Linux Daten und Code im gleichen Bereich, dem Stack, abgelegt 
werden, kann ein zu grosser Input dazu fuhren das nicht Daten sondern 
Code ueberschiieben wird. 

Wird dieser ausgefuhrt kann der Angreifer das Ziel dazu bringen ein 
anderes Programm das grosser ist als nur ein paar Bytes auszufiihren 

Es gibt viele obscure Bufferoverflow Varianten, aber das Grundschema ist 
immer gleich, und als Nicht-Programmierer muss man nicht mehr 
wissen 

StackGuard und Co. schuetzen nur begrenzt durch ^Waditer- Daten" 
der en Integritat regelmassig gepruft wird. Es lassen sich wegen den 
Grundlegen immer gleichbleibenden Eigenschaften des Stacks audi 
immer Wege urn diese Schutzmassnahmen finden 


Cryptofilesysteme 

• Cryptofilesysteme : 

- CFS (Cryptographic File System) sowie das TCFS (Transparent 
CFS) sind ausgereift. Dazu wird der international Linux Crypto 
Patch benoetigt 

- Steganopraphisches Filesystem: mehrere Ebenen der 
Verschlusselung. Erlaubt es etwa unter Druck Dateien aus dem 
Dateisystem zu entschlusseln, ohne aber gleichzeitig alle 
Dateien preiszugeben. Ein Beweis von noch vorhanden 
verschlusselten Datein ist nicht moglich. 

- Self— Certifying Filesystem: lustige verschlusselte NFS 
Variante, welche auch uber Low Volume/High Latency Links 
funktionieren sollte 


Denial of Service 


• Denial of Service, auf Deutsch ,yerweigerung des Dienstes" ist der 
zu erreichende Zustand nach dem Uberheufen des Zieles mit 
Daten in einer Menge, welche das Ziel nicht schnell genug 
abarbeiten kann 

• Dies fuhrt dann zu Resource Starvation (Ende der Resourcen) 
oder zu einem Crash irgendeiner Komponente 

• Die DDoS Attacken (Distributed DoS) basieren auf einer 
dreistufigen Topologie mit einer Schicht von befehlsgebenden 
Rechnern, einer Schicht von angegreifenden Rechnern und einer 
Schicht von angegriffenen Rechner. Durch die Aufteilung ist eine 
massive Paralellisierung und eine schlechtere Ruckverfblgbarkeit 
des Angreifers gewahrleistet. 


Denial of Service 


Beruhmte DDoS Tools waren etwa das Teletubby Flood Network 
oder Stacheldraht. (alle extra fur Linux geschrieben) 

Die DoS Attacke an sich ist schon langer bekannt. Meistens 
werden Smurf Attacken verwendet, audi als [CMP Broadcast 
Storm bekannt. Dabei wird ein Paket an eine [CMP Broadcast 
Adresse eines Netzwerkes geschickt, wobei als Absender die 
Adresse des Opfers gefalscht wird. Die Rechner wollen nun alle 
Anwtorten und schicken damit ein vielfech.es der ursprunglichen 
Verkehrsmenge an das Opfer. 

Losung ist Ingres Filtering und ICMP Broadcast Filtering. 

[nzischen werden audi manchmal simple andere Verfahren 
verwendet 


Linux Firewalls 


der Linux Netzwerk Code hat im Laufe der Zeit eine Evolution 
durchgemacht. 

Linux 2.0: die Grundlagen sind da. Routing und Masquerading 
von Unix— Diensten kein Problem. Interface ist ipfwadm. 
Performance unterhalb des BSD Standards. 

Linux 2.2: Audi exotische Dienste koennen masquiert werden. 
Stark uberarbeitetes Interface in Form von ipchains. Sehr flexibel 
zu Administrieren und audi grossere Freiheiten bei der Gestaltung 
der Filterdefinitionen. Immer noch sclileditere Performance als 
die BSDs. 

Linux 2.4: der neue Code ist super flexibel und super neu. Keiner 
weiss so genau was man damit alles machen kann :) Die Features 
reichen jetzt audi an die einer guten Cisco ran. Performance ist 
nun mindestens so gut wie bei den BSDs . 


Linux Firewalls mit 2.4 

der NAT Code ist nun stark aufgeraumt 

es gibt Statefull Inspection etwa fuer FTP Sessions oder urn 
extrem Paranoide Regeln aufzustellen 

diverse Zusatzaufgaben lass en sich durch Module erledigen, 
welche ein sehr simples API zum Kern verwenden 

Traffic Filtering und QoS sind noch moglicher als jemals zuvor :) 

angeblich soil sich sogar eingehender Verkehr begrenzen lassen 

Ruckwartskompatibilitat zu 2.0 und 2.2 


Linux Firewalls 

• anhand von Protokollart (TCP oder UDP) Portnummer sowie 
eingehender oder ausgehender IP Addresse, Netz oder Device 
konnen Pakete erlaubt, abgewiesen oder an andere Subsysteme 
des Kerns weitergegeben werden (etwa das Masquerading) 

• entweder man schreibt die Regeln alle selber per Hand 

• oder man verwendet Hilfswerkzeug: 

- Mason oder Nstreams werden scharfgeschaltet, lernen welche 
Art von Netzwerkverkehr als Normal angesehen werden kann 
und schreiben Regeln um nur diesen Verkehr durchzulassen 

- Firewall Regeln Verwaltungsprogramme fur GNOME oder KDE 
konnen den ganzen Prozess stressfreier gestalten, entbinden 
einen aber nicht von der Pflicht zu verstehen was man tut 


Firewalls allgemein 

• nicht vergessen: 

Falls die Sicherheits-, Flexibilitats- oderWartungsbedurfhisse 
von einer Linux-Firewall nicht erfullt werden konnen, gibt es 
immer noch kommerziele Produkte, wie die Checkpoint Firewall 
oder als Alternative zu Linux das OpenBSD Projekt. 

• aber audi dort gibt es Nachteile, wie zB fehlende SMP Faehigkeit 
und keine Multimedia Fahigkeiten fur die Firewall (eigentlich 
eher einVorteil :) 


3.) Esoteric/Far -Out Linux Security 


Weiterbildung 

eZines lesen: Phrack ist zum Beispiel immer sehr erleuchtend 

der Volksmund sagt das fur Security Professionals gilt: 
Lerne erst Konstruktiv zu Programmieren und wenn du 
dam it genug Erfahrung hast kannst du destruktiv 
Hacken/Cracken oder andere Bereiche der 
Sicherheitsthematik ausleuchten. 

sehr zu Empfehlen als aktueller Buchtipp von Bruce 
Schneier, "Secrets & Lies - Digital Security in a Networked 
World". E nth a It laut neuster Geheimdienstreporte keine 
mathematischen Formeln und ist damit fur jeden 
Verstandlich 


Backdoors 

• Einer der wichtigsteri Grun.de fur Open Source Software ist die 
Uberprufbarkeit auf Hinterturen (Backdoors) 

• ist faktisch falsch [ Doch audi im OpenSource Zeitalter (TM) 
konnen in dieser Hinsicht noch bose Uberraschungen passieren: 
In der Borland InterBase Datenbank ist jetzt immerhin schon seit 
1994 der geheime Backdoor Account politically/correct" 
vorhanden gewesen. Entdeckt wurde dies erst Anfang 2001. ] 

• Dies ware eigentlich sehr leicht zu bemerken gewesen bei einem 
so schlecht zum Rest des Codes pas sen den Useraccount. Richtige 
Backdoors haben aber wohl eher schwer lesebaren Spaghetticode 
oder super unauffaelligen Code/Namen und dynamisch. generierte 
Passwoerter und keine festen Zeichenketten. 


Backdoors 


Good Old Story: Meister der Backdoors ist Ken Thompson gewesen. Sein 
Hack ware vermutlich nie bekannt gewesen wenn er ihn nicht bei einem 
Kongress offentlich zugegeben hatte 

Er wollte sich die Moglickeit geben in alle Unix Versionen die mit seiner 
Version des C Compilers erstellt wurden, einzuloggen 

Er schrieb nun ein Snick Code welches bemerkte wenn die Datei login, c 
kompiliert wurde, und dort falls der Benutzername Ken ist, nichts weiter 
prufte. Diesen Code verbarg er direkt im Binary des C Compilers. 

Damit die Backdoor auch bei neuen Versionen des C Compilers erhalten 
bleibt, musste der C Compiler merken wenn er sich selbst neu 
kompilierte, und dann den Code fuer den Trigger zur Selbstcompilierung, 
den Trigger fuer die Login.c Datei und den Check auf den Username Ken 
wieder einbauen. 

Ich will nicht rat en wieviele ahliche Hacks gerade im Umlauf sind. 


worst case worm 

• Der schJimmste anzunehmende Wurm: 

Testprototyp Samhain von Michael Zalewski. 1st wirklich realisiert 
word en. 

• Eigenschaften: 

- lauft auf verschiedenen Plattformen 

- verbreitet sich unsichtbar 

- verwendet eine verteilte gespeicherte Datenbank von Systemexploits 

- spricht mit anderen Wurmern der gleichen Art in einem anonymen, 
verschlusselten Freenet almlichen ^Wurm-Nef 1 

- verbreitet sich 'tuerlich ohne Input eines Users 

- Payload ist einPlug-InModul. 

- desweiteren teilen sich die Wiirmer neue Exploits, morphen um 
Antiviren Software zu Verarschen, und wiirde sich aktiv gegen 
Debugger und and ere almliche Werkzeuge wehren 


worst case worm 

• wie weit das Experiment gekommen ist, ist leider nicht bekannt. Aber 
eigentlich sollte sich soldi ein System mit em wenig Disziplin und Geld 
realisieren lassen 

• Fragen an das Publikum: 

— Glaubt das Publikum das so was machbar ist ? 

— Wenn ja. wurde sowas schon von irgendjemandem realisiert ? 

— Egal welclie Ant wort vorher gegeben wurde, ware es nicht sowieso 
egal, da man den Wurm sowieso nicht entdecken konnte ?? 


Weiterfuhrende Links 

comp.os.linux.security FAQ: 
http://www.memeticcandiru.com/colsfaq.html 

Linux Security HOWTO: 

http://www.linuxdoc.org/HOWTO/Security- HOWTO. ht 

Linux Administrators Security Guide: 
http://www.securityportal.com/lasg/ 
(sehr praktisch gehalten, mit vielen The men) 

SecurityFocus unter http://www.securityfocus.com Sehr 
gutes Security Portal 



